CENTRO FEDERAL DE EDUCAÇÃO TECNOLÓGICA – RJ

DEPARTAMENTO DE ENSINO MÉDIO E TÉCNICO

COORDENAÇÃO DE CONSTRUÇÃO CIVIL

Disciplina: Computação Aplicada

Prof.: Emilson Damasceno de Andrade

Aluno: Caroline Jacques Paixão

Vírus de Computador
O que são e tipos de vírus

Rio de Janeiro, 01/12/2010

 Um vírus de computador é um programa malicioso desenvolvido por
programadores que, tal como um vírus biológico, infecta o sistema, faz cópias de si
mesmo e tenta se espalhar para outros computadores, utilizando-se de diversos
meios.
A maioria das contaminações ocorre pela ação do usuário, executando o arquivo
infectado recebido como um anexo de um e-mail. A contaminação também pode
ocorrer por meio de arquivos infectados em pen drives ou CDs. A segunda causa de
contaminação é por Sistema Operacional desatualizado, sem correções de segurança,
que poderiam corrigir vulnerabilidades conhecidas dos sistemas operacionais ou
aplicativos, que poderiam causar o recebimento e execução do vírus inadvertidamente.
Ainda existem alguns tipos de vírus que permanecem ocultos em determinadas
horas, entrando em execução em horas especificas.
Hoje em dia existem mais de 630.000 vírus conhecidos.

Vírus de Arquivos

Esse tipo de vírus agrega-se a arquivos executáveis (normalmente extensão

COM e EXE), embora possam também infectar arquivos que sejam requisitados para a
execução de algum programa, como os arquivos de extensão SYS, DLL, PRG, OVL,
BIN, DRV (esta última é a extensão dos arquivos que controlam o funcionamento do
mouse, do CD-ROM, da impressora, do scanner ...).
Arquivo de extensão SCR, que é a extensão dos screen saver (protetores de
tela), também podem ser infectado, pois estes arquivos são, na verdade, executáveis
comuns, salvos com outra extensão. Isto é feito para que o Windows possa reconhecer
automaticamente esse tipo de arquivo.
Neste tipo de virose, programas limpos normalmente se infectam quando são
executados com o vírus na memória em um computador corrompido.

Os vírus de arquivos dividem-se em duas classes, os de Ação Direta e os

Residentes.

Vírus de Ação Direta

Essa classe de vírus seleciona um ou mais programas para infectar cada vez
que o programa que o contém é executado. Ou seja, toda vez que o arquivo infectado
for executado, novos programas são contaminados, mesmo não sendo usados.
Como isto acontece?
Uma vez contaminado um arquivo, o programa (vírus) faz uma procura no HD
por arquivos executáveis. Cada arquivo encontrado é colocado em uma lista, após, na
nova execução do arquivo contaminado, o vírus seleciona aleatoriamente um ou mais
arquivos, e esses também serão contaminados.

Vírus Residentes

Essa classe esconde-se em algum lugar na memória na primeira vez que um

programa infectado é executado. Da memória do computador, passa a infectar os
demais programas que forem executados, ampliando progressivamente as frentes de
contaminação.
Um vírus também pode ser ativado a partir de eventos ou condições pré-
determinadas pelo criador, como data (como o Sexta-feira 13, por exemplo), número
de vezes que um programa é rodado, um comando específico, etc.

Vírus de Sistema ou Vírus de Boot

Infectam códigos executáveis localizados nas áreas de sistema do disco. Todo

drive físico, seja disco rígido, disquete ou cd-rom, contém um setor de boot. Esse setor
de boot contém informações relacionadas à formatação do disco, dos diretórios e dos
arquivos armazenados nele.
Além disso pode conter um pequeno programa chamado de programa de boot
(responsável pela inicialização do sistema), que executa a "carga" dos arquivos do
sistema operacional (o DOS, por exemplo). Contudo, como todos os discos possuem
área de boot, o vírus pode esconder-se em qualquer disco ou disquete, mesmo que ele
não seja de inicialização ou de sistema (de boot).
Um comportamento comum entre os vírus de boot que empregam técnicas mais
avançadas invisibilidade é exibir os arquivos de boot originais sempre que for feita uma
solicitação de leitura do sector 1 da track 0. Enquanto o vírus estiver residente na
memória, ele redireciona todas as solicitações de leitura desse setor para o local onde
o conteúdo original está armazenado. Essa técnica engana as versões mais antigas de
alguns antivírus. Alguns vírus, ainda mais avançados, chegam a marcar o setor onde o
os arquivos de boot originais foram colocado, como sendo um setor ilegível, para que
os usuários não possam descobrir o setor de boot em um lugar considerado incomum.

Uma explicação técnica:

O primeiro setor físico (track 0, sector 1, head 0) de qualquer disco rígido de
um PC, contém o Registro de Partida e a Tabela de Alocação de Arquivos (FAT). Os
vírus de MBR (Master Boot Record) atacam esta região dos discos rígidos e se
disseminam pelo setor de boot do disco. Quando a FAT é corrompida, por exemplo,
você perde o acesso à diretórios e arquivos, não porque eles em foram atacados, mas
porque o seu computador não consegue mais acessá-los.

Observações:
• Track ou Trilha: uma série de anéis concêntricos finos em um disco
magnético, que a cabeça de leitura / gravação acessa e ao longo da qual os dados são
armazenados em setores separados.

• Sector ou Setor: menor área em um disco magnético que pode ser

endereçada por um computador. Um disco é dividido em trilhas, que por sua vez são
divididos em setores que podem armazenar um certo número de bits.
• Head ou Cabeça: transdutor que pode ler ou gravar dados da e na superfície
de um meio magnético de armazenamento, como um disquete ou um winchester.

Vírus Múltiplos

São aqueles que visam tanto os arquivos de programas comuns como os

setores de Boot do DOS e / ou MBR. Ou seja, correspondem as combinações dos dois
tipos descritas acima. Tais vírus são relativamente raros, mas o número de casos
aumenta constantemente. Esse tipo de vírus é extremamente poderoso, pois pode agir
tanto no setor de boot infectando arquivos assim que eles forem usados, como pode
agir como um vírus de ação direta, infectando arquivos sem que eles sejam
executados.

Vírus de Macro

É a categoria de vírus mais recente, ocorreu pela primeira vez em 1995, quando
aconteceu o ataque do vírus CONCEPT, que se esconde em macros do processador de
textos MicroSoft WORD.
Esse tipo de vírus se dissemina e age de forma diferente das citadas acima, sua
disseminação foi rápida especialmente em função da popularidade do editor de textos
Word (embora também encontramos o vírus na planilha eletrônica Excel, da própria
MicroSoft).
Eles contaminam planilhas e documentos (extensões XLS e DOC). São feitos
com a própria linguagem de programação do Word. Entretanto a tendência é de que
eles sejam cada vez mais eficazes, devido ao fato da possibilidade do uso da
linguagem Visual Basic, da própria Microsoft, para programar macros do Word.
O vírus macro é adquirido quando se abre um arquivo contaminado. Ele se
autocopia para o modelo global do aplicativo, e, a partir daí, se propaga para todos os
documentos que forem abertos. Outra capacidade inédita deste tipo de vírus é a sua
disseminação multiplataforma, infectando mais de um tipo de sistema (Windows e
Mac, por exemplo).

Vírus Stealth ou Furtivo

Por volta de 1990 surgiu o primeiro vírus furtivo(ou stealth, inspirado no caça
Stealth, invisível a radares). Esse tipo de vírus utiliza técnicas de dissimulação para
que sua presença não seja detectada nem pelos antivírus nem pelos usuários. Por
exemplo, se o vírus detectar a presença de um antivírus na memória, ele não ficará na
atividade. Interferirá em comandos como Dir e o Chkdsk do DOS apresentando os
tamanhos originais dos arquivos infectados, fazendo com que tudo pareça normal.
Também efetuam a desinfecção de arquivos no momento em que eles forem
executados, caso haja um antivírus em ação; com esta atitude não haverá detecção e
consequente alarme.

Vírus Encripitados

Um dos mais recentes vírus. Os encripitados são vírus que, por estarem
codificados dificultam a ação de qualquer antivírus. Felizmente, esses arquivos não são
fáceis de criar e nem muito populares.
Vírus mutantes ou polimórficos

Têm a capacidade de gerar réplicas de si mesmo utilizando-se de chaves de

encripitação diversas, fazendo que as cópias finais possuam formas diferentes. A
polimorfia visa dificultar a detecção de utilitários antivírus, já que as cópias não podem
ser detectadas a partir de uma única referência do vírus. Tal referência normalmente é
um pedaço do código virótico, que no caso dos vírus polimórficos varia de cópia para
cópia.

Trojans ou cavalos de Tróia

Certos vírus trazem em seu bojo um código à parte, que permite a um estranho
acessar o micro infectado ou coletar dados e enviá-los pela Internet para um
desconhecido, sem notificar o usuário. Estes códigos são denominados de Trojans ou
cavalos de Tróia.
Inicialmente, os cavalos de Tróia permitiam que o micro infectado pudesse
receber comandos externos, sem o conhecimento do usuário. Desta forma o invasor
poderia ler, copiar, apagar e alterar dados do sistema. Atualmente os cavalos de Tróia
agora procuram roubar dados confidenciais do usuário, como senhas bancárias.
Os vírus eram no passado, os maiores responsáveis pela instalação dos cavalos
de Tróia, como parte de sua ação, pois eles não têm a capacidade de se replicar.
Atualmente, os cavalos de Tróia não mais chegam exclusivamente transportados por
vírus, agora são instalados quando o usuário baixa um arquivo da internet e o executa.
Prática eficaz devido a enorme quantidade de e-mails fraudulentos que chegam nas
caixas postais dos usuários. Tais e-mails contém um endereço na Web para a vítima
baixar o cavalo de Tróia, ao invés do arquivo que a mensagem diz ser. Esta prática se
denomina phishing, expressão derivada do verbo to fish, "pescar" em inglês.
Atualmente, a maioria dos cavalos de Tróia visam a sites bancários, "pescando" a
senha digitada pelos usuários dos micros infectados. Há também cavalos de Tróia que
ao serem baixados da internet "guardados" em falsos programas ou em anexos de e-
mail, encriptografam os dados e os comprimem no formato ZIP. Um arquivo. txt dá as
"regras do jogo": os dados foram "seqüestrados" e só serão "libertados" mediante
pagamento em dinheiro para uma determinada conta bancária, quando será fornecido
o código restaurador.
Também os cavalos de tróia podem ser usados para levar o usuário para sites
falsos, onde sem seu conhecimento, serão baixados trojans para fins criminosos, como
aconteceu com os links do google, pois uma falha de segurança poderia levar um
usuário para uma página falsa. Por este motivo o serviço esteve fora do ar por
algumas horas para corrigir esse bug, pois caso contrário as pessoas que não
distinguissem o site original do falsificado seriam afetadas.
Outra conseqüência é o computador tornar-se um zumbi e, sem que o usuário
perceba, executar ações como enviar Spam, se auto-enviar para infectar outros
computadores e fazer ataques a servidores (normalmente um DDoS, um acrônimo em
inglês para Distributed Denial of Service – em português, ataque distribuído de
negação de serviço). Ainda que apenas um micro de uma rede esteja infectado, este
pode consumir quase toda a banda de conexão com a internet realizando essas ações
mesmo que o computador esteja sem utilização, apenas ligado. O objetivo, muitas
vezes é criar uma grande rede de computadores zumbis que, juntos, possam realizar
um grande ataque a algum servidor que o autor do vírus deseja "derrubar" ou causar
grande lentidão.
 Bibliografia:

• http://pt.wikipedia.org/wiki/V%C3%ADrus_de_computador
• http://www.meusite.pro.br/infoservprof/virus/virus02.htm